Obowiązki dla podmiotów objętych obszarem dyrektywy NIS2
Dyrektywa NIS 2 zrezygnowała z rozróżnienia zakresu obowiązków w zakresie cyberbezpieczeństwa w zależności od kategorii podmiotu, zgodnie z NIS2 będą stosowane jednolite obowiązki do podmiotów kluczowych, jak i istotnych. Niezastosowanie się podmiotów istotnych i kluczowych do zasad dyrektywy, takich jak obsługa incydentów oraz do innych obowiązków przewidzianych w jej tekście może skutkować zastosowaniem przez właściwy organ krajowy środków nadzorczych, a w uzasadnionych przypadkach nawet administracyjnych kar pieniężnych, które mogą dotknąć nie tylko sam podmiot, ale i osoby zajmujące stanowiska związane z cyberbezpieczeństwem w zakresie menadżerskim.
Podmioty będące w zakresie NIS2, bardzo podobnie jak w przypadku RODO mają obowiązek podjęcia odpowiednich i proporcjonalnych środków technicznych i organizacyjnych w celu zarządzania ryzykami, na jakie są narażone sieci i systemy wykorzystywane przez nie do świadczenia usług. Dokładne przepisy regulujące obowiązki podmiotów zostaną określone, przez prawodawstwo krajowe. NIS2 określa niezbędne minimum środków zmierzających do ograniczenia ryzyka wystąpienia incydentu bezpieczeństwa, które muszą zostać zapewnione przez każdy podmiot (zarówno kluczowy jak i istotny), który zostanie objęty zakresem tej dyrektywy. Zidentyfikowane obowiązki określa bezpośrednio artykuł 18, ale również motywy i wskaźniki realizacji celów dyrektywy, są to:
1. Prowadzenie dynamicznej analizy ryzyka (analiza ryzyka musi być dynamiczna, a więc zmieniać się w zależności od otaczającego podmiot świata, zarówno w warstwie technicznej, legislacyjnej, ale również występujących w otoczeniu zagrożeń, analiza ryzyka powinna więc opierać się o feedy z CTI i działów compliance lub prawnego).
2. Posiadanie polityki bezpieczeństwa systemów teleinformatycznych (najlepszym rozwiązaniem jest przygotowanie i wdrożenie w organizacji – Systemu Zarządzania Bezpieczeństwem SZBI Informacji opartego na ISO 27001).
3. Zapewnienie bieżącej obsługi incydentów, zapobieganie incydentom, wykrywanie ich i reagowanie (w organizacji musi istnieć proces zarządzania incydentami, wpisany i zaimplementowany w ład korporacyjny organizacji np. w SZBI).
4. Obowiązek raportowania incydentów do CSIRT poziomu krajowego lub innego właściwego organu dla danego podmiotu (podmioty muszą wdrożyć standardowe procedury operacyjne utrzymywania kontaktów w ramach systemu raportowania odpowiednim podmiotom. Obowiązek raportowania dotyczy zarówno samego faktu wystąpienia incydentu, jak i wszelkich zagrożeń mogących doprowadzić do jego powstania.).
5. Zapewnienie bezpieczeństwa łańcucha dostaw (polityki i procedury związane z bezpieczeństwem dotyczące stosunków między podmiotem a jego dostawcami lub usługodawcami).
6. Opracowanie i wdrożenie planu ciągłości działania i zarządzania kryzysowego, w tym zarządzania kopiami zapasowymi (muszą w organizacji istnieć plany ciągłości działania BCP, tak by móc przywrócić produkcję, proces biznesowy, system informatyczny lub specjalistyczne usługi, osiągnąć ro można poprzez budowę Systemu Zarządzania Ciągłością Działania).
7. Opracowanie odpowiednich polityk i procedur w zakresie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, testowania i przeprowadzania audytów zabezpieczeń (polityki i procedury mają służyć ocenie skuteczności środków zarządzania ryzykiem w cyberprzestrzeni, mogą znajdować się w SZBI zgodnym z ISO 27001).
8. Korzystanie z kryptografii i szyfrowania (polityki i procedury określające stopień korzystania z kryptografii i szyfrowania, który powinien być adekwatny do poziomu ryzyka wystąpienia incydentu bezpieczeństwa, należy więc powiązać ten obszar bezpośrednio z analizą ryzyka i zasadami klasyfikacji informacji).
9. Przeprowadzanie szkoleń z zakresu cyberbezpieczeństwa (należy zapewnić szkolenia z zakresu cyberbezpieczeństwa głównie dla kadry menadżerskiej, ale i zwykłych pracowników w zależności od ich pracy w systemach teleinformatycznych).